CN117650923A - 一种基于K-means的信息安全主动防御方法 - Google Patents
一种基于K-means的信息安全主动防御方法 Download PDFInfo
- Publication number
- CN117650923A CN117650923A CN202311619674.5A CN202311619674A CN117650923A CN 117650923 A CN117650923 A CN 117650923A CN 202311619674 A CN202311619674 A CN 202311619674A CN 117650923 A CN117650923 A CN 117650923A
- Authority
- CN
- China
- Prior art keywords
- attack
- network
- information
- node
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000007123 defense Effects 0.000 title claims abstract description 57
- 238000000034 method Methods 0.000 title claims abstract description 37
- 235000012907 honey Nutrition 0.000 claims abstract description 30
- 238000012544 monitoring process Methods 0.000 claims abstract description 7
- 238000004364 calculation method Methods 0.000 claims description 13
- 230000008569 process Effects 0.000 claims description 9
- 230000004044 response Effects 0.000 claims description 9
- 238000001514 detection method Methods 0.000 claims description 7
- 238000012795 verification Methods 0.000 claims description 6
- 230000008447 perception Effects 0.000 claims description 5
- 238000009826 distribution Methods 0.000 claims description 4
- 230000005856 abnormality Effects 0.000 claims description 3
- ZPUCINDJVBIVPJ-LJISPDSOSA-N cocaine Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 claims description 3
- 238000001914 filtration Methods 0.000 claims description 2
- 230000001954 sterilising effect Effects 0.000 claims description 2
- 238000004659 sterilization and disinfection Methods 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 abstract description 24
- 238000004422 calculation algorithm Methods 0.000 abstract description 8
- 230000002159 abnormal effect Effects 0.000 abstract description 4
- 230000009545 invasion Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 8
- 230000006399 behavior Effects 0.000 description 7
- 230000002155 anti-virotic effect Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 238000005259 measurement Methods 0.000 description 2
- 108090000623 proteins and genes Proteins 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 238000013433 optimization analysis Methods 0.000 description 1
- 238000003909 pattern recognition Methods 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000005096 rolling process Methods 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于一种基于K‑means的信息安全主动防御方法,包括:基于K‑means识别网络环境运行的安全状态;基于引诱攻击兼防御的综合蜜罐模型,开发网络攻击主动防御引擎,为主动防御提供依据;基于所述网络攻击主动防御引擎,构建网络攻击告警联动属性攻击图,确定原子攻击节点;将已被明确攻击节点的攻击重点进行转移,确保节点上的数据具备安全性和完整性。本发明提供的一种基于K‑means的信息安全主动防御方法,利用K‑means算法对网络运行环境中的异常特征进行分析,采用蜜罐技术来监视、检测和分析入侵攻击,进一步提高互联网的安全防御能力。通过该方法能够形成更加精细化和自适应的安全防护体系,提高了系统安全事件的监测预警能力,提升了整体电力网络防御水平。
Description
技术领域
本发明属于电力通信网络安全技术领域,尤其涉及一种基于K-means的信息安全主动防御方法。
背景技术
可信计算技术是提升系统主动防御能力的重要措施,网络安全等级保护2.0等国家有关规定明确要在各安全等级系统采用可信计算技术实施保护,电力信息化行业网络承载的应用非常多,部署的硬件设备也很多,比如服务器、路由器、交换机等,这些软硬件资源采用不同的开发技术、系统架构、接口组件等,集成在一起时非常容易产生各类型漏洞,为不法分子攻击电力信息化行业网络带来机会。传统的网络安全防御方法属于应激性防御,不利于智能电网的安全运行,无法防患于未然,不能够实时地监控网络运行。
随着时代的进步一个新兴在网络防御中产生----主动防御技术,增强本地网络安全性能,还必须保证内网不受非法入侵,在不法攻击发生的时候,能够发现和检测到正在遭受的不法攻击,预测并且高效的识别未知的攻击,同时采取合理并且有效的措施让攻击者不能达到其攻击目的。主动防御作为一种行之有效的现代网络防御技术,它集成了传统的网络防御技术和近几年新出现的尖端仪器,让所有的技术有机结合起来,相互协调,以保证网络安全和电力系统信息安全。现有的安全技术虽然应对一些传统上的网络安全问题,但对于电力信息网络的建设存在的不足主要表现为:1)大多数防御系统是基于被动防御的基础上建立的传统的电力网络安全防御系统,未采取主动的安全措施加以防范,主要依靠杀毒软件,防火墙,身份认证等技术手段。比如杀毒软件技术,虽然可以防护一些病毒、网络、垃圾邮件、间谍软件保护等,可以有效阻拦大部分非法入侵操作,但是这些配置规则会拖慢系统,存在安全漏洞,安装的杀毒软件不支持防火墙,它不会阻止黑客入侵,一旦攻击手段多样化,就会使得安全防护的主动性方面有所欠缺,缺乏探测灵活性;2)从技术层面的角度,电力网络的安全防御大多基于边界、策略、特征的安全防护,很难应对现在高级别安全威胁,缺乏对网络安全威胁全局态势的感知灵敏性,导致对变换后的攻击无法及时应对,防御效果降低。
发明内容
鉴于此,本发明公开提供了一种基于K-means的信息安全主动防御方法,以进一步提高互联网的安全防御能力。
本发明提供的技术方案,具体为,一种基于K-means的信息安全主动防御方法,其特征在于,包括:
基于K-means识别网络环境运行的安全状态;
基于引诱攻击兼防御的综合蜜罐模型,开发网络攻击主动防御引擎,为主动防御提供依据;
基于所述网络攻击主动防御引擎,构建网络攻击告警联动属性攻击图,确定原子攻击节点;
将已被明确攻击节点的攻击重点进行转移,确保节点上的数据具备安全性和完整性。
优选的,所述基于K-means识别网络环境运行的安全状态,包括:
通过信息熵计算求解网络运行异常的概率,信息熵的计算公式如下:
其中:S(X)表示信息熵,q表示网络信息的广延参数值,pi表示某一攻击事件i发生的概率;q的取值设置为以0.5为步长、从-2~2范围内的9个数值;
采用有序属性距离计算计算每个网络信息广延参数值的各个节点到网络信息中心值的距离;将计算得出的所述距离以数据集的形式构成一个连续的属性集合,形成聚类;所述有序属性距离计算的表达式如下:
其中:d(x,y)表示某一节点到其对应中心簇之间的距离;xi表示节点i坐标;yi表示中心簇i坐标;
分别计算每个聚类中的样本点的平均值,并将平均的结果作为下一次的中心聚类更新;
通过所述距离计算结果,对该节点是否为被攻击节点进行判断;若距离超过设定安全范围,则说明该节点为攻击节点,网络中存在某一节点为攻击节点,则说明其处于非安全状态;反之,若距离在设定安全范围内,则说明该节点为正常节点,网络中所有节点均为正常节点,则说明其处于安全状态,以此实现对网络安全状态的初步判断。
优选的,所述引诱攻击兼防御的综合蜜罐模型包括输入代理模块、监测裁决模块、内生安全蜜罐服务集的各个节点、裁决器及反馈控制器,所述输入代理模块设置在蜜罐服务器入口处,用于分发请求;所述监测裁决模块设置在蜜罐服务器出口处,用于比较响应、感知验证;
所述输入代理模块用于将访问请求分发至内生安全蜜罐服务集的各个节点,并实时的采集各个蜜罐中的状态信息,将所述状态信息发送到裁决器;
所述裁决器通过规则库和响应比较后将裁决信息发送至反馈控制器;
反馈控制器再根据裁决信息进行策略调度。
优选的,所述输入代理模块设置在蜜罐服务器入口处,用于分发请求:
蜜罐服务器通过伪造的模拟网络运行环境,并引诱攻击者进行攻击;将攻击者的请求访问信息复制分发给各个执行体,将Nginx反向代理服务器、OpenvSwitch用作消息分发。
优选的,将真实网络运行环境中不涉及用户个人隐私信息的数据导入到蜜罐服务器中;加密所述数据,并通过入侵防护对所述数据进行防御;
记录攻击者攻击网络信息的过程中所产生的攻击信息;
当攻击者进入到蜜罐后,进入到已知漏洞,攻击信息被发送到裁决器与规则库中的信息进行比对,如果比对匹配,蜜罐服务器将会进一步诱导攻击者继续进行攻击,并不进行防御,也不会触发执行体的切换;
如果比对不匹配,将所述攻击信息送至裁决器,裁决器通过多路验证感知和响应比较来确定收到攻击的蜜罐执行体进而执行动态调度的后续工作,并将所述攻击信息送至反馈控制器;反馈控制器对所述攻击信息进行蜜罐的回滚、执行体的调度操作。
优选的,采用Snort检测软件实现对非法入侵行为的检测及报警,采用Sniffer抓取工具来记录每个进入蜜罐服务器的数据,针对攻击者的攻击风险进行过滤和控制。
优选的,针对伪造的模拟网络运行环境当中产生的网络攻击告警信息,根据所述原子攻击节点构建原子节点连接图G,实现对入侵源主机与受害主机之间关系的具体描述;所述网络攻击告警联动属性攻击图可用下式表示;
GG=(Vatom,Eatom)(3)
其中:Vatom表示在告警联动属性信息当中所有与网络环境运行主机节点相关的数据集合;Eatom表示网络攻击告警联动属性攻击事件集合。
优选的,所述将已被明确攻击节点的攻击重点进行转移,在防御过程中,引入蜜罐控制器,启动安全防御软件,利用其对被攻击节点上的数据进行交换,同时配合脱壳和启发式杀毒,对网络攻击进行防御。
本发明提供的一种基于K-means的信息安全主动防御方法,利用K-means算法对网络运行环境中的异常特征进行分析,采用蜜罐技术来监视、检测和分析入侵攻击,进一步提高互联网的安全防御能力。通过该方法能够形成更加精细化和自适应的安全防护体系,提高了系统安全事件的监测预警能力,提升了整体电力网络防御水平。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明的公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明公开实施例提供的网络攻击主动防御引擎基本结构示意图;
图2为本发明公开实施例提供的蜜罐模型示意图;
图3为本发明公开实施例提供的蜜罐工作图;
图4为本发明公开实施例提供的网络攻击告警联动属性攻击图基本结构示意图;
图5为本发明公开实施例提供的采用蜜罐技术的网络拓扑结构图;
图6为本发明公开实施例提供的两组防御方法下攻击方入侵时间对比表图
图7本发明一种基于K-means的信息安全主动防御方法的工作流程图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的系统的例子。
本实施方案针对电力通信网络安全指标进行评估和判断,利用K-means对网络运行环境中的异常特征进行分析,采用蜜罐技术来监视、检测和分析入侵攻击,利用先进的模式识别技术,确定电力通信网络安全攻击、威胁的位置,及时地采用多层次的杀毒软件清除威胁,进一步提高互联网的安全防御能力。
K-means算法是一种现代化的无监督分析技术,在实际应用中能够从众多数据中找出特定的影响因素基因特征,以此将提取到的特征与存储在数据库当中的基因进行比对,实现进一步优化分析。
如图1所示,本实施方案提供了一种基于K-means的信息安全主动防御方法,包括:
步骤1:基于K-means识别网络环境运行的安全状态;
在对网络攻击进行主动防御前,首先需对网络环境运行的安全状态进行识别,为提高识别精度,引入K-means算法,利用该算法对网络运行环境中的异常特征进行分析,并通过信息熵计算的方式求解网络运行异常的概率。信息熵的计算见公式(1)。
其中:S(X)表示信息熵,q表示网络信息的广延参数值,pi表示某一攻击事件i发生的概率;
为实现对网络安全状态的准确度量,更快确定网络攻击时间,综合网络环境的安全运行需要及特点,可将q的取值设置为以0.5为步长、从-2~2范围内的9个数值。
每个网络信息的广延参数值对应一个网络信息的中心值,对各个节点到中心簇的距离进行计算。同时在网络环境运行过程中,还需要根据新划分的簇对中心簇进行更新;在利用K-means算法对距离进行计算时,采用有序属性距离计算方式,其表达式为公式(2)
其中:d(x,y)表示某一节点到其对应中心簇之;xi表示节点i坐标;yi表示中心簇i坐标。
通过计算,完成对所有节点与中心簇之间距离的计算,并将计算得出的数据以数据集的形式构成一个连续的属性集合。在后续主动防御运行过程中可以用这一计算距离的方式实现节点到中心簇之间距离的度量。对于已划分的聚类,分别计算每个聚类中的样本点的平均值,并将平均的结果作为下一次的中心聚类更新。通过距离计算结果,对该节点是否为被攻击节点进行判断。若距离超过设定安全范围,则说明该节点为攻击节点,网络中存在某一节点为攻击节点,则说明其处于非安全状态;反之,若距离在设定安全范围内,则说明该节点为正常节点,网络中所有节点均为正常节点,则说明其处于安全状态,以此实现对网络安全状态的初步判断。
上述中心簇指网络信息的中心值,每一个值都对应一个网络信息的中心点;
采用蜜罐技术来监视、检测和分析入侵攻击,具体措施包括部署一些带有漏洞的网络服务、主机或者系统当做诱饵,吸引入侵者攻击,进而捕获攻击数据,并对入侵者的攻击行为进行详细记录,预测攻击的目的和动机,制定相应的防护策略,从而保护变电站系统。
例如,蜜罐可以故意暴露一些易受攻击的端口,使这些端口保持在开放状态,主动诱使攻击者进入蜜罐环境中,而不是进入真实的系统。一旦攻击者进入蜜罐环境中,就可以连续跟踪攻击者的行为,实现对攻击者的捕获、攻击路径的溯源,并通过评估攻击者的攻击行为,获取有关如何使真实网络更安全的线索,进而通过技术和管理手段来增强实际系统的安全防护能力。
具体地,步骤2:基于引诱攻击兼防御的综合蜜罐模型,开发网络攻击主动防御引擎,为主动防御提供依据;
在实现对网络安全状态的识别后,再引入蜜罐技术,为攻击者提供一个诱饵,并完成对网络攻击主动防御引擎的开发,图1为网络攻击主动防御引擎基本结构示意图,是一种引诱攻击兼防御的综合蜜罐模型由图2所示。具体工作流程如图3所示。
在蜜罐的入口处和出口处分别设置了用于请求分发的输入代理模块和用于响应比较、感知验证的监测裁决模块。当接受到一段访问请求后,输入代理将该请求分发至内生安全蜜罐服务集的各个节点,并且实时的对各个蜜罐中的状态信息进行采集进而发送到裁决模块。裁决器通过规则库和响应比较后将裁决信息发送至反馈控制器。然后反馈控制器再根据裁决信息进行策略调度等操作。
具体地,将攻击者的请求访问信息复制分发给各个执行体。一般常将Nginx反向代理服务器、OpenvSwitch用作消息分发,通过蜜罐技术伪造的模拟网络运行环境,并引诱攻击者进行攻击;
将真实网络运行环境当中不会影响用户个人隐私信息的数据导入到蜜罐服务器中;
针对这些信息进行加密,并采用入侵防护技术对数据进行防御;在攻击者攻击的过程中,记录所有的攻击信息;当攻击者进入到蜜罐后,如果进入到已知漏洞,状态信息将会被发送到裁决模块,这时候状态信息将会与规则库中的信息比对成功。这时候将会一步一步诱导攻击者继续进行攻击,并不用进行防御,也不会触发执行体的切换等相关操作。反之,蜜罐重要的状态信息将会被送至裁决模块。裁决模块将会通过多路验证感知和响应比较来确定收到攻击的蜜罐执行体进而执行动态调度等后续工作。攻击信息会通过裁决模块送至反馈控制器,反馈控制器将会进行蜜罐的回滚、执行体的调度等相关操作。
当攻击者与主机、蜜罐服务器进行交互时,采用入侵检测技术,可以有效地防止错误、异常等信息传入计算机网络中,其中异常检测模型与误用检测模型是入侵检测的两种类型。现阶段Snort等检测软件可以对非法入侵行为进行检测并报警,可使用Sniffer抓取工具来记录每个进入蜜罐服务器的数据,针对攻击者的攻击风险进行过滤和控制。
在电力网络信息主动防御技术中,可以让入侵防护系统和入侵检测系统、响应系统密切配合,让整个防御系统处于一种整体动态变化之中,提高整体网路防御系统能力。
步骤3:基于所述网络攻击主动防御引擎,构建网络攻击告警联动属性攻击图,确定原子攻击节点;
在网络攻击告警联动属性攻击图4中,A(黑色圆)表示为属性节点;B(白色圆)表示为共集节点;连接共集节点与属性节点之间的线粗细能够实现对网络攻击告警联动频率程度的描述,线段越粗,则表示告警联动越频繁;反之,线段越细,则表示告警联动越不频繁,以此实现对网络攻击告警联动属性的描述。
步骤4:针对已经明确被攻击的节点,将其安全攻击重点进行转移,确保节点上的数据具备安全性和完整性;在防御过程中,可引入蜜罐控制器,使安全防御软件启动,利用其对被攻击节点上的数据进行交换,同时配合脱壳技术和启发式杀毒软件,对网络攻击进行防御如图5采用蜜罐技术的网络拓扑结构所示。
为实现对上述提出的基于K-means算法与蜜罐技术的防御方法应用效果的检验,选择将该方法作为实验组,以基于网络防御知识图谱的防御方法为对照组。
将两台PC机、三台服务器和防火墙组成的环境作为本专利实验环境,其中一台计算机作为攻击端,另一台作为两种防御方法运行端,同时也是供给方主要供给的目标对象,在该计算机上运行的MySQL数据库服务是关键数据资源。
攻击方本身是一个恶意实体,其目的是获取另一台计算机上的root权限。同时,在上述实验环境当中,还要利用防火墙将目标网络与互联网络进行隔离。在实验准备工作完毕后,对攻击效果进行分析,以此反映两种方法的防御效果。实验过程中,记录攻击方的入侵成功概率和入侵时间,其中入侵成功概率可通过公式(4)计算得出。
σ=[(M-m)/M]×100% (4)
其中:σ表示攻击方入侵成功概率,M表示攻击方对数据资源运行计算机攻击的次数,m表示攻击方成功对数据资源运行计算机攻击的次数。攻击方入侵成功概率与防御性能呈反向相关关系,攻击方入侵时间与防御性能呈正向相关关系,即攻击入侵成功概率越高,攻击方入侵时间越短,防御性能越差;反之,攻击入侵成功概率越低,攻击方入侵时间越长,防御性能越强。根据上述论述,将实验组与对照组两种防御方法的攻击方入侵成功概率和入侵时间进行记录,如图6所示。
本实施方式中,图7为本发明工作流程图,先利用K-means算法对网络运行环境的安全状态进行识别,再利用蜜罐技术实现对网络攻击主动防御引擎的开发,为向主动防御提供依据,最后构建网络攻击告警联动属性攻击图,实现对网络攻击的主动防御,并对防御事件进行聚类处理,实现了电力网络系统安全防护从被动转向主动,全面提升系统信息整体防御能力。
应用上述方法实现了对用户行为和指令进行安全审计,严防信息窃取、恶意控制和人为破坏行为。实现了变电站自动化系统安全防护从被动转向主动,全面提升系统信息整体防御能力。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由权利要求指出。
Claims (8)
1.一种基于K-means的信息安全主动防御方法,其特征在于,包括:
基于K-means识别网络环境运行的安全状态;
基于引诱攻击兼防御的综合蜜罐模型,开发网络攻击主动防御引擎,为主动防御提供依据;
基于所述网络攻击主动防御引擎,构建网络攻击告警联动属性攻击图,确定原子攻击节点;
将已被明确攻击节点的攻击重点进行转移,确保节点上的数据具备安全性和完整性。
2.根据权利要求1所述的一种基于K-means的信息安全主动防御方法,其特征在于,所述基于K-means识别网络环境运行的安全状态,包括:
通过信息熵计算求解网络运行异常的概率,信息熵的计算公式如下:
其中:S(X)表示信息熵,q表示网络信息的广延参数值,pi表示某一攻击事件i发生的概率;q的取值设置为以0.5为步长、从-2~2范围内的9个数值;
采用有序属性距离计算计算每个网络信息广延参数值的各个节点到网络信息中心值的距离;将计算得出的所述距离以数据集的形式构成一个连续的属性集合,形成聚类;所述有序属性距离计算的表达式如下:
其中:d(x,y)表示某一节点到其对应中心簇之间的距离;xi表示节点i坐标;yi表示中心簇i坐标;
分别计算每个聚类中的样本点的平均值,并将平均的结果作为下一次的中心聚类更新;
通过所述距离计算结果,对该节点是否为被攻击节点进行判断;若距离超过设定安全范围,则说明该节点为攻击节点,网络中存在某一节点为攻击节点,则说明其处于非安全状态;反之,若距离在设定安全范围内,则说明该节点为正常节点,网络中所有节点均为正常节点,则说明其处于安全状态,以此实现对网络安全状态的初步判断。
3.根据权利要求1所述的一种基于K-means的信息安全主动防御方法,其特征在于,
所述引诱攻击兼防御的综合蜜罐模型包括输入代理模块、监测裁决模块、内生安全蜜罐服务集的各个节点、裁决器及反馈控制器,所述输入代理模块设置在蜜罐服务器入口处,用于分发请求;所述监测裁决模块设置在蜜罐服务器出口处,用于比较响应、感知验证;
所述输入代理模块用于将访问请求分发至内生安全蜜罐服务集的各个节点,并实时的采集各个蜜罐中的状态信息,将所述状态信息发送到裁决器;
所述裁决器通过规则库和响应比较后将裁决信息发送至反馈控制器;
反馈控制器再根据裁决信息进行策略调度。
4.根据权利要求3所述的一种基于K-means的信息安全主动防御方法,其特征在于,
所述输入代理模块设置在蜜罐服务器入口处,用于分发请求:
蜜罐服务器通过伪造的模拟网络运行环境,并引诱攻击者进行攻击;将攻击者的请求访问信息复制分发给各个执行体,将Nginx反向代理服务器、OpenvSwitch用作消息分发。
5.根据权利要求3所述的一种基于K-means的信息安全主动防御方法,其特征在于,
将真实网络运行环境中不涉及用户个人隐私信息的数据导入到蜜罐服务器中;加密所述数据,并通过入侵防护对所述数据进行防御;
记录攻击者攻击网络信息的过程中所产生的攻击信息;
当攻击者进入到蜜罐后,进入到已知漏洞,攻击信息被发送到裁决器与规则库中的信息进行比对,如果比对匹配,蜜罐服务器将会进一步诱导攻击者继续进行攻击,并不进行防御,也不会触发执行体的切换;
如果比对不匹配,将所述攻击信息送至裁决器,裁决器通过多路验证感知和响应比较来确定收到攻击的蜜罐执行体进而执行动态调度的后续工作,并将所述攻击信息送至反馈控制器;反馈控制器对所述攻击信息进行蜜罐的回滚、执行体的调度操作。
6.根据权利要求3所述的一种基于K-means的信息安全主动防御方法,其特征在于,
采用Snort检测软件实现对非法入侵行为的检测及报警,采用Sniffer抓取工具来记录每个进入蜜罐服务器的数据,针对攻击者的攻击风险进行过滤和控制。
7.根据权利要求1所述的一种基于K-means的信息安全主动防御方法,其特征在于,针对伪造的模拟网络运行环境当中产生的网络攻击告警信息,根据所述原子攻击节点构建原子节点连接图G,实现对入侵源主机与受害主机之间关系的具体描述;所述网络攻击告警联动属性攻击图可用下式表示;
G=(Vatom,Eatom) (3)
其中:Vatom表示在告警联动属性信息当中所有与网络环境运行主机节点相关的数据集合;Eatom表示网络攻击告警联动属性攻击事件集合。
8.根据权利要求1所述的一种基于K-means的信息安全主动防御方法,其特征在于,所述将已被明确攻击节点的攻击重点进行转移,在防御过程中,引入蜜罐控制器,启动安全防御软件,利用其对被攻击节点上的数据进行交换,同时配合脱壳和启发式杀毒,对网络攻击进行防御。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311619674.5A CN117650923A (zh) | 2023-11-30 | 2023-11-30 | 一种基于K-means的信息安全主动防御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311619674.5A CN117650923A (zh) | 2023-11-30 | 2023-11-30 | 一种基于K-means的信息安全主动防御方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117650923A true CN117650923A (zh) | 2024-03-05 |
Family
ID=90044565
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311619674.5A Pending CN117650923A (zh) | 2023-11-30 | 2023-11-30 | 一种基于K-means的信息安全主动防御方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117650923A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118054973A (zh) * | 2024-04-11 | 2024-05-17 | 国网浙江省电力有限公司桐庐县供电公司 | 一种基于网口锁的主动防御方法、系统、设备及介质 |
-
2023
- 2023-11-30 CN CN202311619674.5A patent/CN117650923A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118054973A (zh) * | 2024-04-11 | 2024-05-17 | 国网浙江省电力有限公司桐庐县供电公司 | 一种基于网口锁的主动防御方法、系统、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5248612B2 (ja) | 侵入検知の方法およびシステム | |
| US9386036B2 (en) | Method for detecting and preventing a DDoS attack using cloud computing, and server | |
| CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
| CN109314698A (zh) | 保护计算机网络与系统的抢占式响应安全系统 | |
| CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| Han et al. | Evaluation of deception-based web attacks detection | |
| CN108337219B (zh) | 一种物联网防入侵的方法和存储介质 | |
| CN117081868B (zh) | 一种基于安全策略的网络安全运营方法 | |
| CN117650923A (zh) | 一种基于K-means的信息安全主动防御方法 | |
| Grechishnikov et al. | Algorithmic model of functioning of the system to detect and counter cyber attacks on virtual private network | |
| CN103401838A (zh) | 一种基于僵尸程序传播行为的僵尸网络预防方法 | |
| Pirozmand et al. | Intrusion Detection into Cloud‐Fog‐Based IoT Networks Using Game Theory | |
| CN114095232A (zh) | 基于隐马尔可夫的电力信息系统动态威胁定量分析方法 | |
| CN116319060A (zh) | 一种基于drl模型的网络威胁处置策略智能自进化生成方法 | |
| CN114448718B (zh) | 一种并行检测和修复的网络安全保障方法 | |
| Rakhimberdiev et al. | Prospects for the use of neural network models in the prevention of possible network attacks on modern banking information systems based on blockchain technology in the context of the digital economy | |
| Durkota et al. | Optimal strategies for detecting data exfiltration by internal and external attackers | |
| CN117675274A (zh) | 一种基于soar的数据中心系统 | |
| CN110493200B (zh) | 一种基于威胁地图的工控系统风险量化分析方法 | |
| Shahbaz Pervez et al. | A comparative analysis of artificial neural network technologies in intrusion detection systems | |
| CN115118525A (zh) | 一种物联网安全防护系统及其防护方法 | |
| Lakhdhar et al. | Proactive security for safety and sustainability of mission critical systems | |
| Lamichhane et al. | Discovering breach patterns on the internet of health things: A graph and machine learning anomaly analysis | |
| Maciel et al. | Impact assessment of multi-threats in computer systems using attack tree modeling | |
| CN111107035A (zh) | 基于行为辨识的安全态势感知与防护方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |